Als bestuurder of ICT-verantwoordelijke in zo’n instelling kent u de verschillende oplossingen, zoals cijfersloten op de deur of leefruimtecirkels waarbij een sensor bepaalt of een deur al dan niet open gaat. U maakt melding van incidenten op dit gebied, en ieder incident is aanleiding om opnieuw de technische oplossing én uw processen te bekijken. Kortom, u bent ‘in control’ over uw fysieke beveiliging.
Virtuele beveiliging
De vraag is echter of u ook ‘in control’ bent als het gaat om virtuele beveiliging. De laatste jaren is er veel veranderd. De tijd dat verzorgenden en verpleegkundigen eens in de week op een groeps-pc hun rooster voor de volgende week bekeken is voorbij. ECD’s doen massaal hun intrede, liefst ook toegankelijk gemaakt op een mobiel device.
Die ECD’s draaien steeds vaker in het datacenter van de leverancier (in de cloud), en niet op de eigen locatie. Verzorgenden en verpleegkundigen gebruiken in hun werk steeds vaker internet, bijvoorbeeld om even een video te bekijken van een handeling die ze niet zo vaak uitvoeren (denk aan het verschonen van een stoma of aanbrengen van een katheter). En ze ontdekken zelf handige apps die hen in hun werk kunnen ondersteunen.
Met andere woorden: er is in één, twee jaar tijd nogal wat veranderd in uw ICT-omgeving. En bent u nog niet zo ver, dan gaat binnenkort veel veranderen. De vraag is: verandert uw security mee?
Waar fysieke toegangscontrole een hot topic is op de werkvloer én in bestuurskamers, komt virtuele toegangscontrole er bekaaid vanaf. Er is vaak weinig kennis over het onderwerp. Dat is ook niet vreemd, want het is nogal complex. De meeste bestuurders en ICT-verantwoordelijken denken: mijn ECD is goed beveiligd en daarmee heb ik de privacy van mijn cliënten gewaarborgd. En natuurlijk, dat is zo. En dat is misschien ook wel het belangrijkst. Maar wat ze zich niet realiseren is dat het netwerk zelf vaak volledig onbeschermd is, met alle kans van dien op virussen en ongenode gasten.
Internetgedrag medewerkers
Ik was laatst bij een organisatie die zorg biedt aan mensen met een verstandelijke beperking. Deze instelling wil grip houden op het internetgedrag van medewerkers. Ze mogen best kijken wat voor weer het wordt of opzoeken hoe je een bepaalde vlek het best verwijdert, maar het is niet de bedoeling dat medewerkers tijdens hun werk langdurig zitten te internetten.
Uit preventief oogpunt heeft deze organisatie daarom het beleid dat ze het internetgedrag van medewerkers mogen controleren. Hoewel zelden gebruik wordt gemaakt van die beleidsregel, moet de instelling wel in staat zijn een logbestand te maken. Tegelijkertijd krijgt de organisatie vanuit de cliëntenraad het verzoek om de internettoegang voor cliënten af te gaan schermen met preventieve webfiltering, waarbij sites die gaan over gokken, drugs en seks worden geblokkeerd. Dit is een uitdaging, want waar je bij de medewerkerstoegang de internetsessies wilt kunnen loggen, wil je dat bij cliënten juist niet; zij hebben immers recht op hun eigen privacy.
Cliënten wil je daarentegen de toegang tot bepaalde sites kunnen weigeren, terwijl dat soms websites zijn waar je medewerkers juist wél toegang toe wilt geven. Zij moeten bijvoorbeeld online kunnen opzoeken hoe ze moeten omgaan met seksuele gevoelens van jongvolwassenen met een verstandelijke beperking.
Dit voorbeeld geeft al aan: security in de zorg is een vak met veel uitdagingen. Het is geen ‘one size fits all’. Het is complex en vergt specifieke kennis van zowel de zorg als van netwerkbeveiliging. Voor mij is dat precies de reden waarom ik dit vak zo leuk vind. Bij iedere klant is het weer een uitdaging om de puzzel te leggen. Heeft u zo’n puzzel die u niet of niet goed gelegd krijgt?
Auteur: Gabor Schilten, IT Manager bij Zetacom
Mail: [email protected].
